Компания Veeam опубликовала информацию о критической уязвимости в своем флагманском продукте - Veeam Backup & Replication. Проблема получила идентификатор CVE-2026-44963 и оценку 9,4 балла по шкале CVSS (общая система оценки уязвимостей), что автоматически относит её к разряду наиболее опасных. Уязвимость позволяет аутентифицированному пользователю домена удаленно выполнить произвольный код на сервере резервного копирования. Такая атака ставит под угрозу всю инфраструктуру хранения и восстановления данных организации.
Уязвимость CVE-2026-44963
Прежде всего, стоит пояснить, о каком векторе идет речь. Veeam Backup & Replication - это решение для резервного копирования, широко используемое как в среднем, так и в крупном бизнесе. Сервер, управляющий этим процессом, часто встроен в доменную среду Windows. Именно такой сценарий и является условием для успешной эксплуатации: уязвимость затрагивает только серверы, присоединённые к домену. Злоумышленник, имеющий действующие учётные данные в этом домене (например, рядового сотрудника), может удалённо отправить на сервер специально сформированный запрос. В результате на стороне сервера выполнится вредоносный код с привилегиями системы. Иными словами, атакующий получает полный контроль над узлом, отвечающим за резервные копии всей организации.
Обнаружил проблему исследователь из компании WatchTowr Сина Хейрках. Он передал информацию разработчику в соответствии с процедурой ответственного раскрытия. Veeam оперативно выпустила исправление в версии 12.3.2.4854. Примечательно, что линейка версий 13.x не подвержена данной уязвимости из-за архитектурных изменений, внесённых начиная с тринадцатой версии. Однако все сборки двенадцатой ветки до указанного номера считаются уязвимыми. Компания особо подчёркивает, что неподдерживаемые версии продукта также, скорее всего, затронуты - их следует рассматривать как потенциально небезопасные.
Последствия успешной атаки трудно переоценить. Сервер резервного копирования является "золотым активом" для любого нарушителя. Получив к нему доступ, злоумышленник может не только прочитать, но и изменить, зашифровать или удалить резервные копии. Особенно опасен сценарий с использованием программ-вымогателей: атакующий, закрепившись в системе, может дождаться момента активного использования резервов и вывести их из строя, чем полностью лишит организацию возможности восстановить данные. Кроме того, через захваченный сервер возможно движение вглубь корпоративной сети, так как инфраструктура резервного копирования часто имеет доверительные отношения с контроллерами домена и другими критическими системами.
Тем не менее Veeam не рекомендует паниковать, а призывает к немедленным действиям. Прежде всего необходимо обновить Veeam Backup & Replication до версии 12.3.2.4854 или перейти на любую из версий 13.x. Если обновление по каким-то причинам невозможно, стоит рассмотреть временные меры защиты: ограничить круг лиц, имеющих доступ к серверу резервного копирования, и проверить, действительно ли сервер должен быть присоединён к домену. В официальной документации Veeam есть раздел, посвящённый выбору между рабочей группой и доменом, - его стоит изучить. Вдобавок необходимо усилить мониторинг входящих запросов к серверу и обратить особое внимание на любые аномальные попытки аутентификации.
Стоит отметить, что уязвимость была раскрыта публично сразу после выхода патча. Это стандартная практика, но она сопряжена с риском: как только злоумышленники узнают о наличии уязвимости и способе её устранения, они начинают обратную разработку обновления. Их цель - выяснить механизм атаки и атаковать ещё не обновлённые системы. Следовательно, ключевой рекомендацией становится скорость установки патча. Промедление здесь равносильно приглашению к взлому.
В контексте данной новости стоит напомнить, что уязвимости в продуктах для резервного копирования не редкость. За последние годы исследователи находили проблемы в решениях многих вендоров. Однако каждая такая находка требует немедленной реакции, ведь от исправности резервных копий напрямую зависит возможность восстановления бизнеса после атаки. На этот раз уязвимость оказалась критической, но хорошо, что она не затрагивает последнюю мажорную версию и исправлена в текущей. Организациям, использующим Veeam, следует как можно скорее проверить версию своего продукта и применить обновление.
К слову, сам инцидент лишний раз подтверждает важность подхода "защита в глубину": даже если сервер резервного копирования защищён паролями и брандмауэрами, аутентифицированный пользователь внутри домена может стать слабым звеном. Поэтому необходимо сочетать своевременное обновление ПО, строгую политику управления доступом и постоянный мониторинг событий безопасности. Только такой комплексный подход позволяет минимизировать риски даже при наличии критических уязвимостей в ключевых компонентах IT-инфраструктуры.
Ссылки
